Neue Orientierungshilfe zum Thema „Gemeinsame Verantwortlichkeit“

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat eine neue Orientierungshilfe zur Gemeinsamen Verantwortlichkeit nach Artikel 26 der DSGVO veröffentlicht. Diese Rechtsfigur, die oft für Unsicherheiten sorgt, regelt die vertragliche Zusammenarbeit zwischen gemeinsam Verantwortlichen und wird laut BayLfD häufiger angewendet als bislang angenommen.

Die Orientierungshilfe bietet konkrete Handlungsempfehlungen für öffentliche Stellen in Bayern, ist aber auch für Verantwortliche außerhalb des Bundeslandes relevant. Ziel ist es, Berührungsängste abzubauen und mehr Klarheit im Umgang mit der gemeinsamen Verantwortlichkeit zu schaffen.

Zuvor haben bereits die Datenschutzkonferenz und der Datenschutzbeauftragte Baden-Württembergs durch Veröffentlichungen und Vertragsmuster zur Klärung beigetragen. Auch die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat mit einer Praxishilfe und einer Checkliste zusätzliche Unterstützung für Datenschutzpraktiker bereitgestellt.

Lesen Sie mehr unter:
https://www.datenschutz-bayern.de/infothek/OH_Gemeinsame_Verantwortlichkeit.pdf

DSFA: Leitfaden für Microsoft 365

Microsoft hat kürzlich eine Stellungnahme zur Datenschutz-Folgenabschätzung (DSFA) für Office 365 veröffentlicht. Laut Microsofts eigener Aussage ist die Nutzung von Office 365 in der bereitgestellten Form nicht automatisch mit einem Risiko verbunden, das eine DSFA nach Art. 35 DSGVO erfordert. Ob eine solche Bewertung notwendig wird, hängt vielmehr davon ab, wie Sie als Verantwortlicher Office 365 konfigurieren und verwenden.

Wichtiger Hinweis für Datenverantwortliche

Microsoft betont, dass erst durch die spezifische Art und Weise, wie Sie die Software einsetzen, potenzielle Risiken entstehen können, die eine DSFA notwendig machen könnten. Unabhängig davon, ob man diese Auffassung für überzeugend hält, können interessierte Verantwortliche auf den Seiten von Microsoft einen neuen Leitfaden abrufen. Dieser soll Sie als Datenverantwortlicher dabei unterstützen, zu entscheiden, ob eine DSFA erforderlich ist und wie Sie diese gegebenenfalls umsetzen.

Inhalt des neuen Leitfadens

  • Teil 1: Bietet grundlegende Informationen zu Office 365 und hilft Ihnen bei der Entscheidung, ob eine DSFA erforderlich ist.
  • Teil 2: Enthält allgemeine Antworten und die notwendigen Elemente für eine DSFA, relevant für alle Office-365-Dienste.
  • Teil 3: Stellt produktspezifische Informationen bereit, die auf die wichtigsten Bedürfnisse der Kunden abgestimmt sind. Zusätzlich wird ein anpassbares DSFA-Dokument bereitgestellt, das Ihnen die Durchführung erleichtern soll.

Welche Dienste sind betroffen?

Office 365 umfasst eine Vielzahl an Anwendungen und Diensten, darunter Exchange Online, SharePoint, OneDrive für Arbeit und Schule, Viva Engage und Microsoft Teams. Eine vollständige Liste der verfügbaren Dienste finden Sie in den Tabellen des Leitfadens.

Lesen Sie mehr unter:
https://learn.microsoft.com/de-de/compliance/regulatory/gdpr-dpia-office365

SDTB veröffentlicht neue Auflage von „Achtung Kamera!“

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat eine neue Auflage der Broschüre „Achtung Kamera!“ veröffentlicht. Diese richtet sich an Privatpersonen, Unternehmen und Behörden und bietet umfassende Informationen zur datenschutzkonformen Videoüberwachung.

Die Broschüre behandelt folgende zentrale Themen:

  1. Rechtliche Rahmenbedingungen: Sie erklärt die gesetzlichen Vorgaben der DSGVO und des BDSG, die für Videoüberwachung gelten. Insbesondere wird auf die Notwendigkeit einer klaren Rechtsgrundlage für jede Form der Datenverarbeitung hingewiesen.
  2. Transparenz- und Informationspflichten: Es wird erläutert, wie Überwachungskameras gekennzeichnet werden müssen, damit Betroffene ausreichend informiert sind. Dies umfasst auch die Pflicht, durch Hinweisschilder auf die Überwachung aufmerksam zu machen und welche Details darauf enthalten sein müssen.
  3. Datensparsamkeit und Speicherfristen: Die Broschüre betont die Wichtigkeit der Datensparsamkeit und fordert, dass Daten nur so lange wie nötig gespeichert und danach gelöscht werden müssen.
  4. Betroffenenrechte: Es wird auf die Rechte der überwachten Personen eingegangen, einschließlich ihres Rechts auf Auskunft über die gespeicherten Daten und deren Löschung.
  5. Praktische Empfehlungen: Die Broschüre enthält konkrete Beispiele und Hinweise, wie typische Fehler bei der Videoüberwachung vermieden werden können.

Die Broschüre zielt darauf ab, das Bewusstsein für den verantwortungsvollen und rechtskonformen Einsatz von Videoüberwachung zu schärfen und den Schutz der Privatsphäre zu stärken.

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/download/Achtung_Kamera.pdf

Sächsische Datenschutz- und Transparenzbeauftragte kontrolliert Websites

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) kontrolliert 30.000 Websites und weist 2.300 Verantwortliche auf Datenschutzverstöße hin

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat im Mai dieses Jahres eine umfassende Kontrolle von rund 30.000 sächsischen Webseiten auf Datenschutzverstöße durchgeführt. Dabei lag ein besonderer Fokus auf der Nutzung des Webanalyse-Tools Google Analytics.

Fehlende Einwilligung in Tracking:
Zahlreiche Website-Betreiber (Unternehmen, Vereine und öffentliche Stellen) versäumten es, die notwendigen Voraussetzungen für die datenschutzkonforme Nutzung von Google Analytics zu schaffen. In ca. 2.300 Fällen fehlte die erforderliche Einwilligung der Nutzer zum Tracking ihres Website-Verhaltens.

Konsequenzen für Website-Betreiber:
Die SDTB versendet in den kommenden Tagen Schreiben an die betroffenen Verantwortlichen. Diese werden aufgefordert, den Datenschutzverstoß zu beseitigen und alle rechtswidrig erhobenen Daten zu löschen. Bei Nichtbeachtung droht ein förmliches Verwaltungsverfahren mit möglichen Bußgeldern.

Datenschutz geht vor:
Dr. Juliane Hundert, die Sächsische Datenschutz- und Transparenzbeauftragte, betont: „Tracking-Dienste wie Google Analytics gewähren tiefe Einblicke in das Verhalten und die Privatsphäre von Website-Besuchern. Der Datenschutz hat hier höchste Priorität. Website-Betreiber, die Google Analytics nutzen möchten, müssen zwingend die Einwilligung der Nutzer einholen.“

Neues IT-Labor für Online-Kontrollen:
Um die Durchsetzung des Datenschutzes im Online-Bereich weiter zu stärken, hat die SDTB ein modernes IT-Labor eingerichtet. „Das Labor ermöglicht uns die datenschutzrechtliche Analyse von Websites, Apps und IT-Produkten mithilfe modernster Hard- und Software. So sind wir für künftige Kontrollen im Online-Bereich bestens gerüstet“, so Dr. Hundert.

Weitere Informationen:
Detaillierte Informationen zum rechtskonformen Einsatz von Google Analytics und anderen Tracking-Diensten finden Sie auf der Website der Sächsischen Datenschutz- und Transparenzbeauftragten: https://www.datenschutz.sachsen.de/cookies-und-tracking.html

Zur Pressemitteilung der SDTB:
https://www.medienservice.sachsen.de/medien/news/1076636

Was nutzen Sie auf Ihrer Webseite?

CheckConsent-Tools & Cookies
CheckGoogle Analytics
CheckKontaktformular
CheckWebshop
CheckGeschützter Nutzerbereich

Gern überprüfen wir Ihre Webseite und/oder Ihres Online-Shop auf Gesetzeskonformität
Das Audit umfasstAllgemeine und technische Prüfung auf Konformität nach DSGVO und TDDDG
sowie weiterer relevater GesetzePrüfung des ImpressumsInhaltliche Prüfung der DatenschutzerklärungMit dem Auditbericht erhalten Sie Hinweise und Handlungsempfehlungen, ggf. Textbausteine zur schnellen und sicheren Umsetzung auf Ihrer Webseite.

Fordern Sie noch heute Ihr individuelles Angebot an
dsb@prodatis.com | 0351 266 23 30

EuGH: Mehr Arbeitnehmerüberwachung!

Erfahren Sie, wie der EuGH zu dem überraschenden Schluss gelangt ist, dass Unternehmen ihre Arbeitnehmer konsequent überwachen müssen, um Forderungen nach DSGVO-Schadensersatz erfolgreich abzuwehren.

Kürzlich hat der Europäische Gerichtshof (EuGH) entschieden, dass Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haften, selbst wenn diese Verstöße von Mitarbeitern begangen wurden, die interne Richtlinien nicht eingehalten haben. Unternehmen müssen nicht nur nachweisen, dass sie ihre Mitarbeiter zu datenschutzkonformem Verhalten angeleitet haben, sondern auch sicherstellen, dass diese Anweisungen von den Mitarbeitern korrekt umgesetzt werden.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/EuGH_Mehr Arbeitnehmerueberwachung.pdf

Urteil des Europäischen Gerichtshofs:
Aktenzeichen C‑741/21

Datenschutz bei Mitarbeiter-Apps

Im Zuge einer steigenden Tendenz setzen immer mehr Unternehmen auf Mitarbeiter-Apps, die sich sowohl auf Smartphones als auch auf PCs, Laptops oder Tablets nutzen lassen. Besonders während der Umstellung von Büroarbeit auf Homeoffice dienen diese Anwendungen vorrangig dem Austausch von Wissen und der Verbesserung der Vernetzung.

Durch solche Apps können Unternehmen beispielsweise Mitarbeiterinnen und Mitarbeitern unabhängig von ihrem Standort und der Uhrzeit wichtige interne Neuigkeiten mitteilen oder mit ihnen kommunizieren. Zusätzlich können sie für Aufgaben wie die Zeiterfassung, das Einreichen von Urlaubsanträgen sowie für digitale Schulungen oder Pflichtunterweisungen genutzt werden.

Doch was ist aus Sicht des Datenschutzes zu beachten? Trotz aller Flexibilität und Vielfalt dürfen Arbeitgeber die Anforderungen an eine datenschutzkonforme Nutzung von Mitarbeiter-Apps nicht vernachlässigen. Für die Verarbeitung personenbezogener Daten von Beschäftigten im Zusammenhang mit diesen Apps ist gemäß Artikel 5 Absatz 1 Satz 1 Buchstabe a und Artikel 6 der Datenschutz-Grundverordnung (DSGVO) grundsätzlich eine geeignete Rechtsgrundlage erforderlich. Diese hängt von den Zielen ab, die mit der App verfolgt werden, sowie von den spezifischen Funktionen.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Datenschutz_bei_Mitarbeiter-Apps.pdf

DSK veröffentlicht Orientierungshilfe „Künstliche Intelligenz und Datenschutz“

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ zielt darauf ab, Unternehmen, Behörden und andere Organisationen zu unterstützen. Sie fungiert als Checkliste und Leitfaden, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Diese Orientierungshilfe wird kontinuierlich weiterentwickelt und an aktuelle Entwicklungen angepasst.

Aktuell stellen sich viele öffentliche und private Einrichtungen die Frage, unter welchen Bedingungen sie KI-Anwendungen datenschutzkonform einsetzen können.

Ein besonderes Augenmerk liegt dabei auf den sogenannten Large Language Models (LLM), die oft als Chatbots genutzt werden, aber auch als Grundlage für andere Anwendungen dienen können. Deshalb liegt der Fokus der Orientierungshilfe „KI und Datenschutz“ auf diesen KI-Anwendungen. Trotzdem gibt es viele weitere KI-Modelle und -Anwendungen, für die die Erwägungen in dem von der Datenschutzkonferenz veröffentlichten Papier von Bedeutung sind.

Die Orientierungshilfe behandelt praxisnahe Fragen, die Datenschutzbeauftragte bei der Konzeption, Auswahl, Implementierung und Nutzung von KI-Anwendungen berücksichtigen müssen. Von der Zweckbestimmung über Transparenzpflichten bis hin zu Betroffenenrechten und der Richtigkeit von Ergebnissen werden wichtige Kriterien entlang der Vorgaben der Datenschutz-Grundverordnung erörtert und Leitlinien für entsprechende Entscheidungen aufgezeigt.

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ wurde von der Taskforce KI unter dem Vorsitz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz erarbeitet. Die Taskforce KI der Datenschutzkonferenz hat bereits 2019 die Hambacher Erklärung zur Künstlichen Intelligenz veröffentlicht und beschäftigt sich derzeit mit der datenschutzrechtlichen Prüfung des Dienstes ChatGPT.

Die Orientierungshilfe richtet sich auch indirekt an Entwickler, Hersteller und Anbieter von KI-Systemen, da sie Hinweise zur Auswahl datenschutzkonformer KI-Anwendungen enthält, die sich auf die Produktgestaltung auswirken können. Die Entwicklung von KI-Anwendungen und das Training von KI-Modellen sind jedoch nicht der Schwerpunkt dieser Orientierungshilfe.

Download der Orientierungshilfe:
datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf

Weitere Orientierungshilfen und Checklisten der DSK:
datenschutzkonferenz-online.de/orientierungshilfen.html

Datenschutzverstoß: Klarna muss 7,5 Millionen Kronen Strafe zahlen

Stockholm, 19. April 2024 – Das Berufungsgericht in Stockholm hat in einem aktuellen Urteil die ursprüngliche Strafe von 7,5 Millionen Kronen (ca. 671.000 Euro) gegen das schwedische Fintech-Unternehmen Klarna wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) bestätigt.

Die Entscheidung ist das Ergebnis einer langen juristischen Auseinandersetzung, die im März 2022 mit einer Sanktion durch die schwedische Datenschutzbehörde IMY (Integritetsskyddsmyndigheten) begann. Klarna wurde vorgeworfen, auf seiner Website unzureichende Informationen über den Zweck und die Rechtsgrundlage der Datenverarbeitung sowie mangelnde Angaben zur Weitergabe und Übertragung von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) bereitgestellt zu haben. Zudem bemängelte die IMY die unzureichende Aufklärung der Betroffenen über ihre Rechte.

In einem ersten Schritt legte Klarna erfolgreich Berufung gegen die Sanktion ein und erreichte eine Reduzierung auf sechs Millionen Kronen. Die jüngste Berufung des Unternehmens scheiterte jedoch: Das Gericht stellte die ursprüngliche Strafe wieder her und bezeichnete sie als „wirksam, verhältnismäßig und abschreckend“.

Das Urteil des Berufungsgerichts hat weitreichende Konsequenzen für die Datenschutzpraxis von Unternehmen im Fintech-Sektor und darüber hinaus. Klarna hat bisher keine Stellungnahme zu dieser aktuellen Entwicklung abgegeben.

Die wichtigsten Punkte der Entscheidung:

  • Klarna muss 7,5 Millionen Kronen Strafe wegen Verstößen gegen die DSGVO zahlen.
  • Das Gericht bestätigte die ursprüngliche Sanktion der IMY.
  • Unternehmen müssen umfassende und transparente Informationen zur Datenverarbeitung bereitstellen.
  • Die Rechte der Betroffenen müssen klar und deutlich kommuniziert werden.
  • Das Urteil hat Signalwirkung für den Datenschutz im Fintech-Sektor.

Fazit:

Die Entscheidung des Berufungsgerichts in Stockholm unterstreicht die Bedeutung eines konsequenten Datenschutzes in der digitalen Welt. Unternehmen müssen die DSGVO strikt einhalten und die Privatsphäre ihrer Kunden respektieren. Verstöße gegen die Verordnung können mit empfindlichen Sanktionen geahndet werden.

Übersicht von Geldbußen für DSGVO-Verstöße:
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/

Tätigkeitsbericht der Sächsischen Datenschutz- und Transparenzbeauftragten 2023

Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert hat ihren Tätigkeitsbericht für den Zeitraum 1. Januar bis 31. Dezember 2023 veröffentlicht. In diesem wurde wiederholt ein Anstieg der gemeldeten Datenpannen im Vergleich zum Vorjahr sowie ein weiterhin hoher Beratungsbedarf festgestellt.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.

Hier finden Sie den Tätigkeitsbericht für 2023:
https://www.datenschutz.sachsen.de/download/taetigkeitsberichte/Taetigkeitsbericht_Datenschutz_2023.pdf

Hier finden Sie die Pressemitteilung zum Tätigkeitsbericht:
https://www.medienservice.sachsen.de/medien/news/1074934

Prüfunterlagen Ransomware-Nachprüfung

Deutsche Datenschutzbehörden führen im Rahmen ihrer gesetzlichen Aufgabe von Zeit zu Zeit Prüfungen bei Unternehmen und Organisationen durch. Diese Überprüfungen können sowohl gezielt aufgrund bestimmter Anlässe als auch ohne spezifischen Anlass erfolgen. Gegenwärtig haben Unternehmen, die in den vergangenen Jahren einen Ransomware-Angriff gemeldet hatten, Schreiben vom Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) erhalten.

Ziel der Ransomware-Nachprüfung ist die Abfrage des aktuellen Sicherheitsstands, ob Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO einen wirksamen Schutz gegen Ransomware-Angriffe gewährleisten.

Auszug aus dem Anschreiben:

„…Wir gehen davon aus, dass Sie im Rahmen der Aufarbeitung des Vorfalls ihrerseits ggf. die Sicherheitsmaßnahmen ausgeweitet oder zumindest angemessen angepasst haben. Im Rahmen der vorliegenden Ransomware-Nachprüfung möchten wir nun Ihren aktuellen Sicherheitsstand diesbezüglich abfragen. Die dazugehörigen Prüfunterlagen liegen diesem Schreiben bei (Anlage A). Mit dieser Prüfung bestätigen Sie uns damit bei Ihnen durchgeführte Maßnahmen zur Sicherheit nach Art. 32 DS-GVO. Falls bestimmte Maßnahmen bei Ihnen nicht ergriffen werden konnten, sind ergänzende Ausführungen zur Begründung möglich…“

Anschreiben und Fragebogen des BayLDA:
https://www.lda.bayern.de/media/pruefungen/Ransomware_Followup_Anschreiben.pdf